標的型攻撃とは？仕組みや事例、対策 - もし被害にあったら？

標的型攻撃とは

標的型攻撃とは、特定の標的に対して行われるサイバー攻撃の一つです。ターゲットとなる企業の従業員に対して取引先や顧客を装ってマルウェアが添付されたメールを送信。そのメールを開くと感染し、組織内のネットワークに侵入されてしまいます。

かつてサイバー攻撃で多かった個人による愉快犯的な攻撃よりも、組織的な犯行が中心です。主に政府、官公庁、企業といった重要な情報を持つ組織が標的とされやすく、目的を達成するまで執拗に攻撃を仕掛けてくる特徴もあります。

標的型攻撃の目的

攻撃者は、顧客情報、知的財産などの重要な情報を不正に取得することを目的とするケースが増えています。過去には攻撃対象のシステムを破壊する事件もあったものの、近年は破壊以上に損失の大きな情報漏えいを目的とする事件が散見されます。

標的型攻撃の種類

標的型攻撃メール

標的型攻撃メールは上記で述べたようにマルウェアをメールとともに送付し、ウィルスや不正プログラムを感染させる方法です。

送り主不明のメールアドレスで送付されることが多かったものの、近年は取引先を装ってメールを送る手法が増えています。これまで以上に警戒が必要といえるでしょう。

水飲み場攻撃

ターゲットが日常的に閲覧するWebサイトに不正プログラムを組み込み、ウィルスに感染させる方法です。「水飲み場」とは、水飲み場で待ち伏せし獲物を狩るライオンの習性からつけられた名前です。

普段利用しているWebページに不正プログラムが仕掛けられているため、標的型攻撃メールよりも見分け方難しく、防衛にはより高度な手段が必要になります。

潜伏型と速攻型

くわえて標的型攻撃の手法には、潜伏型と速攻型の2種類があります。

潜伏型は感染したのちウィルスが長期間潜伏し、徐々に情報を抜き取っていく手法です。重要な情報が漏れるまでに時間がかかるものの、感染したことを確認するのが難しく、対策が難しい方法です。

速攻型は数時間から数日で情報を取得する手法です。潜伏型と違って狙った情報を短時間で抜き取ってしまうのが特徴です。速攻型の場合情報を抜き取る際に感染したコンピュータを用いるため、パソコンの動作が遅くなります。そのため潜伏型よりは、以上に気が付きやすいといえます。

標的型攻撃の仕組み

攻撃は、次の4段階を経て遂行されます。複雑な過程を経るため、攻撃の追跡を困難にしています。

1. 潜入

標的型メールが送信され、受信者により添付された不正プログラム実行されます。または、不正プログラムを含むUSBメモリが持ち込まれる場合もあります。インターネットに公開するサーバーがあれば、ぜい弱性を利用した攻撃による侵入も考えられます。

なかでも特徴的なメールによる攻撃とサイト改ざんによる攻撃について詳しく解説します。

メールに不正プログラムを添付

攻撃者は、関係者や関連業者を装うことで標的ユーザを信用させ、添付された不正プログラムを開かせます。

標的となる組織の事業内容や取引関係など、事前に調査した上で巧妙なメールを作成しているため、ユーザは業務に関係のあるものだと思ってメールを開き、不正プログラムからマルウェアに感染してしまうのです。

よく利用するサイトの改ざん

攻撃者は、特定の攻撃対象組織からの閲覧者に限ってウイルス感染させるようにウェブサイトを改ざんします。

ユーザにとっては、いつも訪れるウェブサイトなので、特に気をつけることなくウイルス感染の被害に遭ってしまいます。このようなユーザに気づかれないようにマルウェアをダウンロードさせる行為は、ドライブ・バイ・ダウンロードと呼ばれます。

2. 攻撃基盤構築

バックドア型不正プログラム※が標的内端末へ感染します。次に、バックドア型不正プログラムは外部サーバーと通信を行い、内部活動を行う新たなウイルスがダウンロードされます。これにより、次のシステム調査段階に進む準備が完了します。

3. システム調査段階

内部活動を行うウイルスによってネットワーク内の情報を探索することにより、情報の存在箇所が特定されます。これにより、攻撃者は最終的に目的を遂行するためにはどのような手段をとるべきかが明らかとなります。

4. 攻撃

攻撃専用のウイルスのダウンロードが実行され、重要情報の収集、収集した重要情報の外部入手といった攻撃を遂行します。

標的型攻撃の事例

過去に発生した標的型攻撃の事例2つを紹介します。

グーグルやヤフー

2010年1月前後、Internet Explorerのぜい弱性を利用し、ユーザのコンピュータを乗っ取り、遠隔操作によって特定企業のシステムに侵入することにより、スパイ行為や知的財産の窃取などを行う攻撃が発生しました。

グーグルやヤフーなど30社を超える企業のウェブサイトが攻撃対象となりました。グーグルにおいては、同社にとって最も重要な情報資産であるGmailアカウントが窃取されました。

イランの原子力施設

2009、2010年にUSBメモリを介して感染し、インターネットに接続していない産業用制御システムに対する攻撃が発生しました。イランのウラン濃縮用遠心分離機が標的となり、それを制御しているシステムが乗っ取られ、稼働していた遠心分離機すべてが稼働できなくなりました。

2012年6月1日にニューヨーク・タイムズは、Stuxnetはアメリカ国家安全保障局（NSA）とイスラエル軍の情報機関がイラン攻撃用に作成したマルウェアだと報じました。このようなことから、Stuxnetは国家間サイバー戦争に使われたマルウェアではないかとみられています。

標的型攻撃の対策

標的型攻撃から重要な資産や情報を守るためには、攻撃が発生する前に取れるべき対策は打っておくことです。企業の人的リソースや予算によってさまざまな策はあるかもしれませんが、ここでは、共通して必要な情報資産の管理とセキュリティ対策について説明します。

管理体制の強化

企業にとって価値の高い情報資産はどこにどれだけあるのか定期的に棚卸し、守るべき対象を明確にします。そして、該当の資産に対してどのようなリスクがあるか分析したうえで、セキュリティポリシー策定とその実行を行います。

また、攻撃は高度な技術を使ったものだけでなく、ソーシャルエンジニアリングといった騙しのテクニックも利用されます。そのため、ユーザ一人ひとりが高いセキュリティ意識を持つことが必要です。合わせて経営者やマネジメント層も、従業員に対するセキュリティ教育や注意喚起を継続して実施しなければなりません。

セキュリティソフトの導入

既知のぜい弱性には、ウイルス・マルウェア対策ソフトなどで対応可能です。ただし、常に最新パターンが適用されているかの監視は不可欠です。

また、未知のぜい弱性には対応できないことにも注意しなければなりません。したがって、あらゆる方向からの攻撃を防御できるよう、多層防御をするセキュリティ対策が必要になります。

標的型攻撃対策ツールをお探しの方は、ぜひ次の記事も参考にお読みください。

標的型攻撃の事後対応

標的型攻撃の特徴として、攻撃の目的が達成されるまで攻撃が執拗に継続されることがあります。このことから、出口、入口部分だけですべてを防ぐのは非常に難しくなってきます。ここでは、攻撃が発生した後どうするべきか観点で説明します。

侵入検知

システムへの入り口での防御として、ファイアウォールとIDS／IPSは有効です。もしシステム内にインターネットにつながるウェブサイトがある場合は、WAF（ウェブアプリケーションファイアウォール）も必要でしょう。これにより、ウェブアプリケーションのぜい弱性を利用した攻撃を検知・遮断します。

被害拡大の防止

直接の被害拡大防止と事業に及ぼす影響低減の2つの視点で取り組むことが必要です。

まず、直接の被害拡大防止としては、外部の不審な通信を検知、またはウイルスに感染したコンピュータを特定して、不正な通信を遮断することを最優先で実施します。

たとえば、ウイルス対策ソフトで不正な動作を検知した場合は、即該当コンピュータのネットワークケーブルを取り外すといった対応となります。IDSを導入していれば、不正な通信を検知後にファイアウォールで遮断対応、IPSであれば、自動的に遮断まで実施といったことになります。

次に、事業に及ぼす影響の低減としては、スムーズで確実な対外発表、関係機関への報告が考えられます。このためには、事前に情報資産の棚卸しができていること、訓練により被害が発生した際のシミュレーションを行い、スムーズに対応できる準備ができていることが必要です。

被害状況の確認

被害状況の確認にはログ分析が欠かせません。ネットワーク、サーバーのログと情報資産へのアクセスログを取得し、これらを分析し、全体像を把握します。もし、被害の全容を可視化できるツールが導入されていれば、より全体像の把握がスムーズになるでしょう。

復旧作業

調査結果や影響をふまえ、関係者の事業継続を優先し最短の時間で最低限の機能から復旧させます。あくまで事業継続の観点が第一です。

スムーズな復旧ができるためには、日常から訓練することにより、実際に被害が発生した際に迷うことなく復旧作業ができるようにすることが重要です。

標的型攻撃における被害と対策の現状

被害状況

最近の傾向としては、ゼロデイぜい弱性が悪用される、いわゆる「ゼロデイ攻撃」が増えています。ゼロデイとは、ぜい弱性の修正プログラムがリリースされる前を意味します。実例としては「Adobe Flash Player」のゼロデイぜい弱性がよく知られています。ゼロデイぜい弱性が複数発覚し、「Adobe Flash Player」を頻繁にアップデートしたことを記憶されている方もいるかもしれません。

もう一つ、最近の傾向としては、アカウント情報の窃取に正規ツールを利用する手口が使われるようになっています。不正プログラムを使わないことで、実行アプリケーションの監視の目をかいくぐろうとする意図が見えます。さらに、ITの技術ではなく、人間の心理や社会の盲点を突いて、機密情報を入手するソーシャルエンジニアリングも活発になっています。

対策の現状

トレンドマイクロの2012年調査によると、次の機密情報の漏えい対策は調査対象企業の4割以下にとどまることがわかりました。

• 重要度の高い情報は端末に保存できないようになっている
• 情報漏えい対策製品などのデータの送受信をブロックする仕組みを利用して重要な情報の漏えいから守っている
• メールやリムーバブルメディアなどによる実行ファイルの送受信は禁止している

これらはいずれも、標的型攻撃を防止するために必要な手段です。したがって、この調査では、標的型攻撃に弱い企業が6割以上ある結果になっているといえます。

標的型攻撃対策に完璧はない

標的型攻撃への対策に完璧はありません。攻撃者には組織の重要な情報を窃取する明確な目的が存在し、それを達成するためには手段を選ばないためです。また、クラッキングを介さずに情報の穴を探すソーシャルエンジニアリングも近年は流行しています。

防止できる対策は必要ですが、不測の事態が起こった際に被害を最小限に抑えることについても、防止策と同様に準備が必要です。

IPA（情報処理推進機構）が公開した「情報セキュリティ10大脅威 2022」によると、標的型攻撃が上位にランクインとしています。標的型攻撃は最優先でセキュリティ対策を取り組むべきといえるでしょう。

BOXILとは

BOXIL（ボクシル）は企業のDXを支援する法人向けプラットフォームです。SaaS比較サイト「BOXIL SaaS」、ビジネスメディア「BOXIL Magazine」、YouTubeチャンネル「BOXIL CHANNEL」を通じて、ビジネスに役立つ情報を発信しています。

BOXIL会員（無料）になると次の特典が受け取れます。

• BOXIL Magazineの会員限定記事が読み放題！
• 「SaaS業界レポート」や「選び方ガイド」がダウンロードできる！
• 約800種類のビジネステンプレートが自由に使える！

BOXIL SaaSでは、SaaSやクラウドサービスの口コミを募集しています。あなたの体験が、サービス品質向上や、これから導入検討する企業の参考情報として役立ちます。

BOXIL SaaSへ掲載しませんか？

• リード獲得に強い法人向けSaaS比較・検索サイトNo.1^※
• リードの従量課金で、安定的に新規顧客との接点を提供
• 累計1,200社以上の掲載実績があり、初めての比較サイト掲載でも安心

^{※ 日本マーケティングリサーチ機構調べ、調査概要:2021年5月期 ブランドのWEB比較印象調査}